挑战
重点。这是每个组织在管理信息安全和运营风险时都需要的关键品质,但很少有人能做到这一点。
原因很简单——专注要求组织识别其风险格局中几个最关键的要素,而这只有在能够有效比较要素时才会发生。不幸的是,过去两年我遇到的每一个组织都无法做到这一点。
例如,下面的列表是几个大型组织最近与我分享的“十大网络风险”的代表。(与您组织的列表如有任何相似之处纯属巧合。)
-
移动技术
-
云计算
-
第三方风险
-
社会工程学
-
国家资助的黑客
-
Web应用程序漏洞
-
用户意识
-
数据泄露
-
内部威胁
乍一看,大多数人都会看到这个列表并点头同意这些似乎是重大的网络风险。也许吧,但现在回答这个问题:“此列表中排名前三的风险是什么? ”——然后板着脸,用对业务同事有意义的措辞来捍卫你的答案。将我的问题扩展为包括:“…… 未列入列表的第 11 项和第 12 项风险是什么 ?”事情变得更加有趣。当我以这种方式挑战某人时,我还没有听到令人信服的答案。一般来说,我会看到车头灯下的鹿的表情,然后是大量的挥手,“这很复杂。 ”既然如此,这些组织关注其风险格局中最重要要素的可能性有多大?
苹果和橙子
优先级的第一个原则是只能在基本相似的事物之间进行比较和/或可以使用通用的度量单位进行评估。不幸的是,上面的列表是不同风险景观元素的集合。例如,移动技术只是一种技术,而网络犯罪分子是整个威胁群体中的一个特定群体,社会工程是各种威胁群体使用的一种方法,而 Web 应用程序漏洞是威胁群体特定部分中的弱点的一个例子。技术景观。显然,这些在本质上并不相似,这意味着为了让我们比较它们,我们必须能够使用通用的度量单位来评估它们。
原文始发于微信公众号(河南等级保护测评):确定风险优先级的最佳方法 - 第 1 部分
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论